Segurança da Informação

4ª Aula
Controle de Acesso SI

• Controle de acesso é um dos principais

componentes da arquitetura de segurança da
informação, composto pelos processos de
autenticação, autorização e auditoria.

• Permite que a gerência especifique:

◦ Quais os usuários podem acessar os
sistemas.
◦ Os recursos que podem ser acessados.
◦ Que operações podem ser realizadas.
◦ Impor responsabilidade pelas ações de cada
indivíduo.

• Auxilia na proteção contra ameaças e

vulnerabilidades que podem afetar o ambiente
tecnológico da empresa.
Categorias de Controle de Acesso SI

• Separation of Duties
É a divisão das tarefas e/ou privilégios necessários para
completar um processo entre vários indivíduos, para que
uma pessoa só não possa completar sozinha.

Objetivo: Prevenir fraudes e erros.

Esse tipo de controle submete os atacantes a conspirar

(Collusion) com outras pessoas para completar uma
fraude.

• Need to Know
Limita os usuários a terem acesso somente aos recursos
necessários para possam desempenhar suas funções.

• Defense in Depth
Aplicação de múltiplas camadas de proteção entre um
recurso (informação) e um atacante.
É aconselhável que cada camada tenha um mecanismo
de proteção diferente.
Controle de Acesso - Autenticação

• Identificação digital de uma pessoa

(física ou jurídica) em um sistema/site.

- Ex: username, user ID, account

number, email, entre outros.
Controle de Acesso - Autorização

• É o processo para determinar os

recursos específicos que um usuário
precisa e que tipo de acessos este
usuário irá ter.

• Aspecto chave: Controle.

Controle de Acesso - Auditoria

• Capacidade de identificação de atos

e respectivos responsáveis
(accountability) nos sistemas.

• A identificação é obtida através de

logs de auditoria, ou seja, registros
de todas as ações dos usuários nos
sistemas (logs de falha e sucesso).
Controle de Acesso – Práticas Mercado

Autenticação Forte (Strong Authentication)

Fatores de Identificação e Autenticação que podem ser utilizados para

garantir a autenticidade de um usuário no sistema.

Uso de algo que a pessoa conheça

(something you know)
• Senhas
• Passphrase

Uso de alguma coisa que a

pessoa possua (something you have)
• Tokens
• SmartCards

Uso de algo que a pessoa é (something you are)

• Impressão digital
• Retina
Controle de Acesso – Práticas Mercado

Gerenciamento de Senhas (Password Management)

• As senhas armazenadas não devem ficar em texto puro. Comumente são

persistidas criptografadas nos diversos sistemas de mercado.

• Os usuários devem ser obrigados a alterar suas senhas em um período

entre 30 a 90 dias.

• Estabelecer Clipping Level: Nivel de tolerância configurado para erros de

senhas por parte dos usuários.

– Caso o Clipping level for excedido, o usuário deve ficar bloqueado por um tempo
determinado ou até que um administrador faça o desbloqueio.
Controle de Acesso - Práticas Mercado

Ataques contra senhas (Password Attack)

• Eletronic Monitoring: “Escutar” o trafego de rede para capturar informação, especialmente
quando o usuário está enviando a senha para um servidor de autenticação.
A senha pode ser copiada e reutilizada em outro momento. Este ataque é chamado Replay Attack.

• Access the Password File: Geralmente feito no servidor de autenticação.

Arquivo de senhas deve ser protegido com controle de acesso e criptografia.

• Brute Force Attacks: Tentar todas as combinações possíveis para descobrir uma password.

• Dictionary Attacks: Arquivos com milhões de palavras são comparados com a senha do usuário
para tentar descobri-la.

• Social Engineering: Um atacante tenta convencer um indivíduo que ele deve ter acesso a certo
recurso ou faz se passar por outra pessoa.

• Rainbow Tables: Atacante usa uma tabela com passwords em formato hash. Ele compara uma
password que foi capturada em formato hash com a tabela para descobrir a senha em texto puro.
Leva muito menos tempo que um Brute Force ou Dictionary Attack.

• Password Checkers: Ferramentas que executam dictionary e/ou Brute Force ataques para
descobrir senhas fracas.: Pode ser usado para o bem e para mal.
Controle de Acesso - Práticas Mercado

Táticas para Autenticação – (Something you have to)

One Time Password

Também chamada de Dynamic Password.

É usada para a finalidade de autenticação uma única vez; depois do primeiro
uso ela não é mais válida.

• One Time Password – Token Devices

- Synchronous: Sincroniza com o servidor de autenticação baseado em tempo

(time) ou contadores (counter).
Time Based: O dispositivo token e o servidor de autenticação devem ter o mesmo
tempo nos seus relógios internos.
Counter Based: O usuário vai iniciar a criação da password apertando um botão no
aparelho. Isso faz com que o token e o serviço de autenticação avancem para o
próximo valor de password.
Controle de Acesso - Práticas Mercado

Táticas para Autenticação – (Something you have to)

One Time Password – Token Devices

- Asynchronous: Usa o método de chalenge/ response para autenticar o

usuário.

1- Um valor “challenge” é exibido na estação do usuário.

2- Usuário digita o valor “challenge e um PIN (Personal Identification Number).
3- O token mostra um valor diferente para o usuário.
4- Usuário digita esse valor no software da workstation.
5- O valor é enviado para o servidor de autenticação.
6- O serviço de autenticação está esperando um determinado valor.
7- O usuário tem o acesso permitido (ou negado) a
estação de trabalho.
Controle de Acesso - Práticas Mercado

Táticas para Autenticação – (Something you have to)

– Memory Cards: Armazena informação mas não tem poder de processamento.

– Smart Cards: Armazena informação e tem hardware e software para processar tal
informação.
• Contact: Cartão precisa ser inserido em um leitor para que o chip seja processado.
• Contactless: Cartão com dispositivo de emissão/recepção de sinais onde ao entrar
no campo magnético de um emissor/receptor ativa seu chip interno.

– Combi: Contact ou Contactless

– Hybrid: Ambos em um só contact e contacless

Controle de Acesso - Práticas Mercado

Táticas para Autenticação – (Something you have to)

– Sistemas de Biométricos - Tipos

Fingerprint: Guarda uma imagem digital completa do dedo. Utiliza

bastante recurso de disco e geralmente é usado com propósito de
identificação.

Finger-Scan: Digitaliza somente alguns pontos do dedo para

acelerar o processo de comparação. Geralmente utilizado no
processo de autenticação onde o fator performance se torna muito
importante.

Retina Scan: Faz a leitura dos vasos sanguíneos da parte de

trás do olho.

Íris Scan: A íris é a parte colorida do olho humano e tem

padrões únicos usados em sistemas biométricos.
Controle de Acesso - Práticas Mercado

Táticas para Autenticação – (Something you have to)

– Sistemas de Biométricos – Vantagens e desvantagens

- Mais caro em relação as

outras formas
- Revogação de acesso.

- Precisão
- Confiança
- Não é possível de ser perdido
Controle de Acesso - Práticas Mercado

Táticas para Autenticação – (Something you have to)

– Sistemas de Biométricos - Desafios

- Aceitação pelos usuários (Não pode ser intrusivo)

- Prazo/ tempo para fazer o cadastro de todos usuários

- Capacidade de processamento
Controle Acesso – Medida Proteção Física

Anéis de Proteção dos Ativos Organizações

Os ativos do negócio tem um certo valor e, dependendo do valor bem como as

ameaças e riscos sujeitos, medidas de proteção devem ser tomadas.

As medidas de segurança não devem ser

iniciadas somente nos sistemas, nas estações
ou locais de trabalho, mas também fora da
empresa.

O acesso aos ativos da empresa deve ser difícil

ou impossível, devemos pensar em termos de
uma série de perímetros:

Área em volta da empresa.

Acesso aos edifícios.

Área de trabalho.

Ativos que devem ser protegidos.
Controle de Acesso – Medida Proteção Física

Anel de Proteção Externo

• O anel externo que rodeia a empresa pode ser protegido por recursos naturais
ou por sua arquitetura.

• Barreiras naturais: vegetação ou um rio.

• Barreiras de arquitetura: cercas, arame farpado, paredes, muros, etc.

• A área entre o anel externo e a organização pode ser supervisionada por:

• Pessoas: vigilantes (guardas) ou por serviços auxiliares (manobristas no

caso de estacionamentos).
• Meios eletrônicos: Câmeras de vigilância, sensores, etc.
Controle de Acesso – Medida Proteção Física

Inexistência de Anel de Proteção Externo

• Em organizações sem anel de proteção externo se faz necessária a adoção
de medidas estruturais no local. O ideal é que estas medidas sejam
concebidas antes da construção do estabelecimento pois modificações em
prédios antigos podem ser complexas/dispendiosas.

• As medidas estruturais devem atender à regulamentos e legislações e devem

estar de acordo com as necessidade de proteção da organização.

• Exemplos: vidros blindados, portas de aço, etc.

• Além de dispositivos como trancas, podemos usar meios eletrônicos de

acesso tais como sistemas de cartão e senha e equipamentos biométricos
(digital, retina, face, voz, entre outros).